So aktualisieren Sie Ihre Windows Server Cipher Suite für mehr Sicherheit
Sie betreiben eine seriöse Website, auf die Ihre Benutzer vertrauen können. Recht? Vielleicht möchten Sie das noch einmal überprüfen. Wenn Ihre Site unter Microsoft Internet Information Services (IIS) ausgeführt wird, werden Sie möglicherweise überrascht sein. Wenn Ihre Benutzer versuchen, über eine sichere Verbindung (SSL / TLS) eine Verbindung zu Ihrem Server herzustellen, bieten Sie ihnen möglicherweise keine sichere Option an.
Die Bereitstellung einer besseren Verschlüsselungssuite ist kostenlos und ziemlich einfach einzurichten. Folgen Sie einfach dieser schrittweisen Anleitung, um Ihre Benutzer und Ihren Server zu schützen. Sie erfahren auch, wie Sie die von Ihnen verwendeten Dienste testen, um zu ermitteln, wie sicher sie wirklich sind.
Warum Ihre Cipher Suites so wichtig sind
Microsofts IIS ist ziemlich großartig. Es ist einfach zu installieren und zu warten. Es verfügt über eine benutzerfreundliche grafische Benutzeroberfläche, die die Konfiguration zum Kinderspiel macht. Es läuft unter Windows. IIS hat wirklich viel zu bieten, fällt aber bei Sicherheitsvorgaben völlig aus.
So funktioniert eine sichere Verbindung. Ihr Browser leitet eine sichere Verbindung zu einer Site ein. Dies wird am einfachsten durch eine URL identifiziert, die mit „HTTPS: //“ beginnt. Firefox bietet ein kleines Schlosssymbol, um den Punkt weiter zu veranschaulichen. Chrome, Internet Explorer und Safari verfügen über ähnliche Methoden, um Sie darüber zu informieren, dass Ihre Verbindung verschlüsselt ist. Der Server, zu dem Sie eine Verbindung herstellen, beantwortet Ihren Browser mit einer Liste von Verschlüsselungsoptionen, aus der Sie wählen können, und zwar in der Reihenfolge, in der er am meisten bevorzugt wird. Ihr Browser führt die Liste durch, bis er eine Verschlüsselungsoption findet, die er mag, und wir sind abgehakt. Der Rest ist, wie sie sagen, Mathematik. (Niemand sagt das.)
Der entscheidende Fehler dabei ist, dass nicht alle Verschlüsselungsoptionen gleich sind. Einige verwenden sehr gute Verschlüsselungsalgorithmen (ECDH), andere sind weniger gut (RSA) und andere sind nur schlecht beraten (DES). Ein Browser kann eine Verbindung zu einem Server herstellen, indem er eine der vom Server bereitgestellten Optionen verwendet. Wenn Ihre Site einige ECDH-Optionen, aber auch DES-Optionen anbietet, stellt der Server eine Verbindung her. Das einfache Angebot dieser schlechten Verschlüsselungsoptionen macht Ihre Site, Ihren Server und Ihre Benutzer möglicherweise anfällig. Leider bietet IIS standardmäßig einige ziemlich schlechte Optionen. Nicht katastrophal, aber definitiv nicht gut.
So sehen Sie, wo Sie stehen
Bevor wir beginnen, möchten Sie vielleicht wissen, wo sich Ihre Site befindet. Glücklicherweise stellen die guten Leute von Qualys uns allen kostenlos SSL-Labs zur Verfügung. Wenn Sie zu https://www.ssllabs.com/ssltest/ wechseln, können Sie genau sehen, wie Ihr Server auf HTTPS-Anforderungen reagiert. Sie können auch sehen, wie regelmäßig von Ihnen genutzte Dienste verwendet werden.
Ein Hinweis zur Vorsicht hier. Nur weil eine Website keine A-Bewertung erhält, bedeutet das nicht, dass die Leute, die sie leiten, schlechte Arbeit leisten. SSL Labs schlägt RC4 als einen schwachen Verschlüsselungsalgorithmus vor, obwohl es keine bekannten Angriffe gibt. Es ist zwar weniger resistent gegen Brute-Force-Versuche als etwas wie RSA oder ECDH, aber es ist nicht unbedingt schlecht. Eine Site kann eine RC4-Verbindungsoption anbieten, um die Kompatibilität mit bestimmten Browsern zu gewährleisten. Verwenden Sie die Site-Rankings daher als Richtlinie, nicht als eiserne Sicherheitserklärung oder deren Fehlen.
Aktualisieren Ihrer Cipher Suite
Wir haben den Hintergrund abgedeckt, jetzt machen wir uns die Hände schmutzig. Das Aktualisieren der von Windows Server bereitgestellten Optionen ist nicht unbedingt einfach, aber auf jeden Fall ist es auch nicht schwierig.
Drücken Sie zum Starten die Windows-Taste + R, um das Dialogfeld "Ausführen" aufzurufen. Geben Sie "gpedit.msc" ein und klicken Sie auf "OK", um den Gruppenrichtlinien-Editor zu starten. Hier nehmen wir unsere Änderungen vor.
Erweitern Sie auf der linken Seite Computerkonfiguration, Administrative Vorlagen, Netzwerk, und klicken Sie dann auf SSL-Konfigurationseinstellungen.
Doppelklicken Sie auf der rechten Seite auf SSL Cipher Suite Order.
Standardmäßig ist die Schaltfläche „Nicht konfiguriert“ ausgewählt. Klicken Sie auf die Schaltfläche "Aktiviert", um die Cipher Suites Ihres Servers zu bearbeiten.
Das Feld SSL Cipher Suites füllt sich mit Text, sobald Sie auf die Schaltfläche klicken. Wenn Sie sehen möchten, welche Cipher Suites Ihr Server aktuell anbietet, kopieren Sie den Text aus dem Feld SSL Cipher Suites und fügen Sie ihn in den Editor ein. Der Text besteht aus einer langen, ununterbrochenen Zeichenfolge. Jede Verschlüsselungsoption ist durch ein Komma getrennt. Wenn Sie jede Option in eine eigene Zeile setzen, wird die Liste leichter lesbar.
Sie können die Liste durchgehen und nach Herzenslust mit einer Einschränkung hinzufügen oder entfernen. Die Liste darf nicht mehr als 1.023 Zeichen umfassen. Dies ist besonders ärgerlich, da die Chiffriersätze lange Namen wie „TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384“ haben. Wählen Sie diese Option also sorgfältig aus. Ich empfehle, die von Steve Gibson auf GRC.com zusammengestellte Liste zu verwenden: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.
Nachdem Sie Ihre Liste kuratiert haben, müssen Sie sie zur Verwendung formatieren. Wie bei der ursprünglichen Liste muss Ihre neue eine ununterbrochene Zeichenfolge sein, wobei jede Ziffer durch ein Komma getrennt ist. Kopieren Sie den formatierten Text, fügen Sie ihn in das Feld SSL Cipher Suites ein und klicken Sie auf OK. Um den Change-Stick zu erstellen, müssen Sie einen Neustart durchführen.
Wenn Ihr Server wieder betriebsbereit ist, gehen Sie zu SSL Labs und testen Sie es. Wenn alles gut gelaufen ist, sollten die Ergebnisse eine A-Bewertung ergeben.
Wenn Sie etwas mehr visuelles möchten, können Sie IIS Crypto von Nartac installieren (https://www.nartac.com/Products/IISCrypto/Default.aspx). Mit dieser Anwendung können Sie dieselben Änderungen wie in den obigen Schritten vornehmen. Außerdem können Sie Chiffren basierend auf einer Vielzahl von Kriterien aktivieren oder deaktivieren, sodass Sie sie nicht manuell durchgehen müssen.
Die Aktualisierung Ihrer Cipher Suites ist eine einfache Möglichkeit, die Sicherheit für Sie und Ihre Endbenutzer zu verbessern.